악성코드 앞에선…공인인증서도, 사내 메일도 빨간불

가 +
가 -

악성코드 기세가 여간해서 꺾이지 않는다. 초기에는 장난스러운 해킹이나 개인정보 유출 정도였다면 요즘은 지역과 플랫폼을 가리지 않는 대규모 범죄로 번지고 있다. 보안 업체들은 꾸준히 해킹 위협과 그 사례를 알리고 있는데 요즘들어 이런 일이 벌어질 수 있다는 정도의 우려가 아니라 실제로 상당부분 배포되고 피해로도 이어지고 있는 사례들이 많다. 늘 그렇듯 수법은 기가 막히다.

시만텍은 국내 은행 계좌를 직접적으로 공격하는 위협에 대해 경고했다. ‘카스토브’라는 이름의 이 트로이목마는 은행을 비롯한 금융기관 이용자의 접속 계정 정보, 금융 암호, 계좌 정보와 거래 내역을 수집할 뿐 아니라 공인인증서도 함께 수집한다. 은행이 보안 용도로 쓰는 암호, 공인인증서, 보안카드의 정보가 모두 수집되면 사실상 통장과 신분증, 인감도장을 모두 넘겨준 것이나 마찬가지다.

이 악성코드는 그 동안 공격을 받지도, 해결되지도 않은 취약점들을 적극 이용하는 와일드 멀웨어 방식이다. 표적 대상도 다양해서 한번 감염되면 여러개의 DLL 파일에 접근해 스크린샷부터 암호, 계정정보, 트랜잭션, 인증 등의 요소를 복잡적으로 수집한다. 시만텍이 가장 위험한 것으로 꼽은 것만 해도 5가지에 달한다.

symantec
▲주요 표적 대상 DLL들. 이 5개가 가장 위협적이고, 다른 DLL도 더 많이 있다.

금융 공격은 지난 2012년 한 해 동안에만도 600여건에 달했는데 최근에는 특정 국가나 특정 금융 기관을 표적으로 삼는다. 이번 공격도 NPKI 기반의 공인인증서를 쓰는 국내 금융기관에 정확하게 표적이 맞춰져 있다. 공격자의 신원이나 국가는 정확하게 밝혀지진 않았지만, 이 악성코드가 침입하는 데 이용한 공격용 툴킷인 ‘공다(Gongda)‘가 중국어로 ‘공격’이라는 뜻인 만큼 중국에서 공격했을 가능성도 배제할 수 없다.

세밀해지는 표적 공격은 기업 내부 메일에도 파고들었다. 안랩은 사내 업무 문서로 위장한 악성코드를 경고하고 나섰다. e메일을 받은 이용자가 첨부 파일을 실행하면 악성코드에 감염되는 패턴은 비슷하지만, 익숙한 사내 문서를 통해 그룹 내부에 유포된다는 점이 신경 쓰인다.

감염된 PC는 회사 메일의 주소록을 뒤지고 기업 내 도메인과 관련된 주소들을 습득해 사내에 내부 메일을 발송한다. e메일 제목도 ‘주간 업무 계획’ 등 기업 안에서 흔히 오가는 내용으로 포장된다. 첨부파일도 PPT 같은 확장자를 가장하지만, 실제로는 악성코드다. 제목과 발신자가 확실하고 첨부파일까지 그럴듯하니 열어볼 수 밖에 없는 상황을 만드는 것이다.

ahnlab_email_malware
▲알고 있는 사람의 e메일 주소와 익숙한 제목, 첨부파일이라고 해도 마냥 믿을 순 없다.

지난 3월 온 나라를 들썩이게 만든 언론사와 금융기관 해킹 사건 역시 표적이 된 기업에 악성코드를 배포한 뒤 공격자가 명령을 내려 시스템을 순식간에 무력화시키는 방식인데, 역시 관건은 악성코드 숙주를 뿌리고 심는 것이었다. 기업 내부 메일을 통해 공격하는 방법은 그간 외부에서 이력서나 제안서, 회원 정보 메일 등으로 공격해 오던 것에서 한 단계 발전된 모습이다.

시만텍과 안랩 모두 각 상황에 대해 “백신과 보안 프로그램을 항상 최신 상태로 유지하고 첨부 파일의 경우 출처를 확실히 확인한 뒤에 실행할 것” 정도 밖에 대책을 내놓지 못하고 있다. 운영체제의 설계나 인터넷 환경, 국경없는 범죄에 대한 강력한 법적 조치 등 근본적인 대책이 세워지지 않으면 더 정밀하고 은밀한 침입과 공격이 이어질 것이다.

네티즌의견(총 0개)